社交工程演練就是為了測試員工,面對社交工程攻擊的時候有沒有警覺性,有沒有能力去判斷哪些是釣魚信件、攻擊信件。資訊安全教育訓練不一定每天都要做,但是社交工程演練的頻率要高一點,提升員工的資安意識,讓他有足夠的警覺性,培養出更多思考與檢查的習慣。
請問大家有針對企業員工做過資安提升的教育訓練嗎?我們會幫企業做社交攻擊演練,在做調研的時候,第一次先寄釣魚信件過去,然後會陸續回收很多回應,哪些人在什麼時間點了釣魚信件,之後做成報告向企業經營者提報。
隨後開始進行企業的教育訓練,講完以後沒多久,一、兩個禮拜再寄一次,一定還是會有員工點擊攻擊信件。雖然教育訓練講得很清楚,而且攻擊信件的破綻都已經放得這麼明顯,但還是有些員工會中招,所以,公司真的不能不預防這樣的神助攻。
企業為什麼需要社交攻擊演練,因為這樣的員工真的存在,所以,社交工程演練就是為了測試員工,面對社交工程攻擊的時候有沒有警覺性,有沒有能力去判斷哪些是釣魚信件、攻擊信件。
資訊安全教育訓練不一定每天都要做,但是社交工程演練的頻率要高一點,提升員工的資安意識,使其有足夠的警覺性,培養出更多思考與檢查的習慣。
企業的社交工程演練如何取得最好的成果?
1.無預警實施演練,不要跟員工講說要演練,偷偷寄送攻擊信件;
2.進行社交演練時,可以結合時事議題或是公司活動議題。比如說:萊豬又爆驚天大案,然後再發新聞稿裡面夾帶連結,測試員工是否可以判斷。
我們公司內部也演練過,但是結果很不理想,因為我們用了第三季績效獎金的議題,所有員工無招架之力,檔案寄出後,大概有七成的人去點了連結,還有人會很熱心的報告總經理說連結失效了。大家可以發現平常都在接觸資安的人,遇到他真正關心的議題時,他會瞬間腦袋空白,失去任何抵抗能力。
3.搭配公司定期的資安認知提升訓練,要定期跟員工做資安宣導,教他們認識及判斷釣魚信件。
演練結果可以結合不同的評核方式,例如:演練失敗的員工,可以再做一次教育訓練,或是結合績效考核辦法,公司可以靈活運用不同的評核方式,以利有效提升員工的資安認知。
專家:林崇裕 講師
經歷:鼎新近20年服務經歷,10年企業客戶服務經歷,10年資安規劃及資安顧問經歷,深知企業目前面對的資訊安全挑戰及存在企業內部的漏洞。
證照:ITIL V3 Foundation、ISO 27001 LA
想要進階學習《企業網路安全》相關議題,推薦您相關課程資訊
【面授課程】:企業網路安全攻防
知識學院
444 Followers
知識學院
444 Followers
我們使用本身的Cookie和第三方的Cookie進行分析,並根據您的瀏覽習慣和個人資料向您展示與您的偏好相關的廣告。如欲瞭解更多資訊,您可以查閱我們的隱私權政策。